Recovery labs soluciona los daños causados por el…

Recovery labs soluciona los daños causados por el virus Kriz

Diciembre 2000 - Delitos Informáticos

El laboratorio español de recuperación de datos informáticos ha desarrollado una tecnología capaz de recuperar la información perdida por la acción de este virus navideño.

El W32/Kriz.3862 está basado en la tecnología del famoso Chernobyl. Este famoso virus se carga en la memoria del ordenador infectado, encripta su código y mientras permanece en ella, va infectando las aplicaciones y ficheros que el usuario ejecuta.

El día 25 de Diciembre, fecha en la que se activa, borra la información contenida en la CMOS. Seguidamente rescribe sobre el disco duro secuencias de 2048 sectores, a partir del sector 0, lo que provoca la pérdida de la información contenida en el disco duro. Trata de infectar la BIOS de la placa base, si lo logra, el ordenador infectado no podrá volver a arrancar. Finalmente infecta el Kernel32.dll con su propia información, impidiendo así que pueda ser reparado.

Los síntomas que pueden hacernos pensar que estamos infectados por el Kriz son los siguientes: Comportamientos extraños del sistema, así como errores en programas en ejecución o incrementos injustificado del tamaño de algunos ficheros.

En los equipos infectados se crea un fichero llamado WININIT.INI en el directorio Windows.

Recovery Labs analiza los discos infectados (este proceso puede tardar varias horas) para localizar la ubicación exacta de las cabeceras.

Tras esta primera batería de pruebas, se estudian minuciosamente los resultados obtenidos para determinar qué zonas han podido verse afectadas por la actuación del virus. A partir de aquí, básicamente, se procede a la regeneración de la estructura de directorios dañados a través de una serie de procesos complejos controlados por nuestros técnicos hasta que logramos acceder a la información que se daba por perdida.

Conviene recordar que la información no es eliminada por completo del disco. El virus modifica la información para que los usuarios afectados no puedan volver a acceder a ella y el sistema operativo no sea capaz de reconocer su existencia.